Stav kybernetickej bezpečnosti: Vyše polovica IT projektov firiem obsahuje vážne zraniteľnosti, ukazuje report Citadelo

Spoločnosť Citadelo zverejnila Ethical Hacking Report 2025. Z 628 otestovaných IT projektov obsahovala viac ako polovica kritickú alebo vysoko závažnú zraniteľnosť. Celkovo bolo identifikovaných o 17 % viac zraniteľností ako v roku 2024. Kritické zraniteľnosti medziročne vzrástli o 42 %, pričom pri infraštruktúrnych projektoch bol nárast viac ako 100 %.

V roku 2025 spoločnosť Citadelo otestovala o 34 % viac projektov ako v predchádzajúcom roku, pričom viac ako polovica z nich obsahovala minimálne jednu zraniteľnosť s vysokou alebo kritickou závažnosťou. Kritické zraniteľnosti sa vyskytli približne v 30 % projektov a medziročne vzrástli o 42 %. Pri red teamingových projektoch dosiahol nárast kritických zraniteľností 50 % a pri desktopových aplikáciách 25 %. Celkovo bolo identifikovaných 3 293 zraniteľností. 

„Počet 3 293 môže na prvý pohľad pôsobiť alarmujúco. Pre nás však predstavuje 3 293 momentov, keď sme stáli na správnej strane – identifikovali sme reálne riziká skôr, než mohli byť zneužité. Každé zistenie je pripomienkou, že bezpečnosť nie je o dokonalosti, ale o tom byť o krok vpred a chrániť to, na čom záleží: prevádzku, kontinuitu a dôveru,“ uvádza Gabriel Lachmann, CEO spoločnosti Citadelo.

Rozsiahle praktické skúsenosti, podporené širokou vzorkou analyzovaných projektov, umožňujú spoločnosti Citadelo prinášať presný a dátovo podložený pohľad na aktuálny stav kybernetickej bezpečnosti. Zistenia zároveň potvrdzujú, že bezpečnosť sa v súčasnosti dostáva do popredia strategického riadenia firiem, a to nielen v dôsledku rastúceho počtu útokov, ale aj vplyvom nových technológií a regulácií.

Významným trendom je prudký nárast testovania riešení využívajúcich umelú inteligenciu a veľké jazykové modely (LLM). Počet takýchto testov sa medziročne zdvojnásobil. Hoci AI zásadne mení spôsob fungovania firiem, prináša aj nové typy zraniteľností, napríklad manipuláciu vstupov (prompt injection), únik citlivých dát či nedostatočné riadenie prístupov.

Jednotlivé typy projektov vykazovali rozdielnu mieru zraniteľností. Najvyšší počet identifikovaných zraniteľností bol zaznamenaný pri webových aplikáciách a webových projektoch, ktoré zároveň patria medzi najčastejšie testované riešenia. Výrazne vyšší výskyt kritických zraniteľností bol zaznamenaný pri infraštruktúrnych projektoch, kde kritické zraniteľnosti medziročne vzrástli o viac ako 100 %. Pri red teamingových projektoch dosiahol nárast kritických zraniteľností 50 % a pri desktopových aplikáciách 25 %. Zraniteľnosti so strednou závažnosťou boli identifikované vo všetkých testovaných projektoch. 

Znepokojujúcim zistením je pritom tzv. falošný pocit bezpečia pri internej infraštruktúre a cloudových projektoch – organizácie ich často považujú za bezpečné len preto, že nie sú priamo pripojené na internet, a preto ich menej testujú. Realita je však iná: až 71 % infraštruktúrnych projektov obsahovalo kritickú zraniteľnosť a 42 % cloudových projektov. Infraštruktúrne aj cloudové projekty zároveň vykazovali v priemere najvyšší počet zraniteľností na jeden projekt spomedzi všetkých testovaných kategórií.

Rastúcim rizikom ostáva aj sociálne inžinierstvo, teda techniky manipulácie ľudí s cieľom získať prístup k citlivým informáciám alebo systémom. Citadelo testovalo v roku 2025 štvornásobne viac projektov zameraných na sociálne inžinierstvo ako v predchádzajúcom roku, pričom až 57 % z nich obsahovalo kritickú zraniteľnosť. Útočníci pritom čoraz častejšie kombinujú psychologické triky s modernými technológiami vrátane AI, čím zvyšujú úspešnosť útokov. Skúsenosti ukazujú, že významná časť používateľov je na tieto útoky stále náchylná, čo podčiarkuje potrebu pravidelného vzdelávania a simulovaných phishingových kampaní.

„Najzávažnejšie riziká často vznikajú tam, kde ich organizácie najmenej očakávajú – v interných systémoch, pri dodávateľoch s nízkym kybernetickým zabezpečením, cloudových prostrediach alebo v komplexných scenároch odhalených prostredníctvom Red Teamingu. S rastúcim rozšírením AI a LLM riešení vzniká nová kategória rizík, ktorá si vyžaduje špecializované testovanie a pohľad útočníka,“ konštatuje Tomáš Horváth, sales director Citadelo.

Citadelo testuje naprieč všetkými odvetviami, pričom najväčší podiel tvoria finančný sektor a oblasť vývoja softvéru. 

„Zistenia sú jednoznačné. Systematické penetračné testovanie už nie je voliteľné – je nevyhnutné na pochopenie reálnej miery vystavenia riziku. Otázkou zostáva len to, či zraniteľnosti odhalíte ako prví vy, alebo niekto iný,“ uzatvára Gabriel Lachmann.

Citadelo je popredná európska spoločnosť v oblasti kybernetickej bezpečnosti s dôrazom na ofenzívnu bezpečnosť. Náš tím viac ako 47 certifikovaných odborníkov sa špecializuje na identifikáciu zraniteľností v aplikáciách, sieťach, cloudových infraštruktúrach a priemyselných systémoch skôr, než ich dokážu zneužiť útočníci.